5th域安全微讯早报【20241205】292期
5th域安全微讯早报【20241205】292期 网空闲话 网空闲话plus 2024-12-04 23:13 2024-12-05 星期四Vol-2024-292 今日热点导读 **1. CISA发布网络监控指南,加强通信基础设施安全 2. Jatoba和Naumen SMP:国产解决方案的理想组合 3. ENISA发布首份欧盟网络安全状况报告,网络威胁水平“相当高” 4. 国际联合行动成功捣毁
继续阅读标签: XSS
思科ASA漏洞CVE-2014-2120当前正在被利用攻击
思科ASA漏洞CVE-2014-2120当前正在被利用攻击 鹏鹏同学 黑猫安全 2024-12-04 23:01 思科警告表示,CVE-2014-2120 ASA漏洞已经在野生攻击中被活跃攻击,并建议客户查看更新的安全通告。该漏洞存在于Cisco Adaptive Security Appliance(ASA)软件的WebVPN登录页面,因为未经身份验证的远程攻击者可以通过跨站脚本(XSS)攻击对
继续阅读钓鱼网页散播银狐木马,远控后门威胁终端安全
钓鱼网页散播银狐木马,远控后门威胁终端安全 原创 火绒安全 火绒安全 2024-12-04 13:44 在当今网络环境下,许多人都有通过搜索引擎下载应用程序的习惯,虽然这种方式简单又迅速,但这也可能被不法分子所利用,通过设置钓鱼网站来欺骗用户。这些钓鱼网站可能会通过各种方式吸引用户点击,从而进行病毒的传播,危害个人或企业的信息安全。 我们期望本篇文章有助于帮助您提高网络安全防范意识,通过官方正规的
继续阅读信息安全漏洞月报(2024年11月)
信息安全漏洞月报(2024年11月) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2024年11月采集安全漏洞共3920个。 本月接报漏洞1825个,其中信息技术产品漏洞(通用型漏洞)1287个,网络信息系统漏洞(事件型漏洞)538个。漏洞平台推送漏洞93384个。 重大漏洞通报 Palo Alto
继续阅读信息安全漏洞周报(2024年第49期)
信息安全漏洞周报(2024年第49期) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月25日至2024年12月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞483个。 接报漏洞情况 本周CNNVD接报漏洞50088个,其中信息技术产品漏洞(通用型漏洞)320
继续阅读思科安全设备ASA十年老漏洞正在被利用
思科安全设备ASA十年老漏洞正在被利用 老布 FreeBuf 2024-12-04 11:03 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的远程攻击者对W
继续阅读网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习
网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习 原创 扬名堂 东方隐侠安全团队 2024-12-04 11:00 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 Veeam 修补服务提供商控制台关键 RCE 漏洞 Veeam 发布了安全更新以解决影响服务提供商控制台(VSPC)的一个关键漏洞,该漏洞可
继续阅读【安全圈】思科安全设备ASA十年老漏洞正在被利用
【安全圈】思科安全设备ASA十年老漏洞正在被利用 安全圈 2024-12-04 11:00 关键词 安全漏洞 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的
继续阅读思科证实已存在10年的ASA产品漏洞正遭利用
思科证实已存在10年的ASA产品漏洞正遭利用 Eduard Kovacs 代码卫士 2024-12-04 10:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,思科更新安全公告提醒称,已存在十年之久的一个漏洞正遭在野利用。 该漏洞的编号是CVE-2014-2120,是中危级别的XSS漏洞,影响思科ASA产品的 WebVPN 登录页面。 思科提到,未认证的远程攻击者能够诱骗 We
继续阅读推荐 10 个漏洞管理工具,漏洞猎手必备!
推荐 10 个漏洞管理工具,漏洞猎手必备! 原创 wljslmz瑞哥 网络技术联盟站 2024-12-04 07:15 公众号:网络技术联盟站 随着网络攻击的日益复杂,漏洞管理已经成为保障信息安全和保护企业资产的核心环节。漏洞管理工具能够有效地帮助企业及时发现、评估、修复系统中的安全漏洞,从而降低数据泄露、网络攻击等风险。漏洞管理不仅仅是一个技术层面的任务,它涉及到企业的各项安全操作,包括资产发
继续阅读CTF训练营-Web篇 更新: 反序列化漏洞-Phar反序列化和字符串逃逸
CTF训练营-Web篇 更新: 反序列化漏洞-Phar反序列化和字符串逃逸 看雪课程 看雪学苑 2024-12-03 09:59 本周我们将在上一周的基础上对序列化的知识点进行深入的学习,我们将细致的学习Phar反序列化及其原理;此外我们将看一个非常经典的反序列化利用方式,字符串逃逸。经过本周学习,相信同学们将对反序列化有了更为深入的理解。 第一章 Phar反序列化 视频1-1 什么是Phar文件
继续阅读【珍藏版】渗透测试手册,简直太赞了!
【珍藏版】渗透测试手册,简直太赞了! 点击关注👉 马哥网络安全 2024-12-03 09:01 点击上方 蓝字 ,后台回复 【 合集 】 获取 网安资源 渗透测试是一种安全性测试,会发起模拟网络攻击以查找计算机系统中的漏洞。 今天学习一款现面向所有安全爱好者的开源渗透测试手册,涵盖「信息收集」,「漏洞攻击」,「中间件安全」,「常见提权」,「工具使用」,「权限维持技术」,「内网渗透技术」,「脚本开
继续阅读微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性
微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性 原创 产品与解决方案部 威努特安全网络 2024-12-03 00:02 Part.1 引 言 随着网络安全威胁的不断升级,企业面临的攻击手段日益复杂,漏洞利用成为最常见的入侵途径之一。今年7月9日,微软披露了一个超高危漏洞CVE-2024-38077,其CVSS评分高达9.8,研究人员将其命名为 MadLicense(狂躁许可)。根据有
继续阅读文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 听风安全 2024-12-02 12:28 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOn
继续阅读每周网安资讯 (11.26-12.2)|Containers等厂商的多款产品存在链接跟随漏洞
每周网安资讯 (11.26-12.2)|Containers等厂商的多款产品存在链接跟随漏洞 交大捷普 2024-12-02 10:14 2024[ 每周网安资讯 ]11.26-12.2 网安资讯 1、国家“2024网络安全创新发展大会”在京顺利召开 2024年11月27日,由《信息安全研究》杂志社主办,光明网网络安全频道&数字化频道、中移互联网有限公司、蚂蚁科技集团股份有限公司协办的“2
继续阅读微软修复已遭活跃利用的漏洞
微软修复已遭活跃利用的漏洞 THN 代码卫士 2024-12-02 10:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软修复了位于AI、云、企业资源规划和Partner Center 服务中的四个漏洞,其中一个已遭在野利用。 该已被“检测到遭利用”的漏洞是CVE-2024-49035(CVSS评分8.7),是位于partner.microsoft[.]com 中的一个提权漏洞。微
继续阅读VMware 修复 Aria Operations 中的多个高危漏洞
VMware 修复 Aria Operations 中的多个高危漏洞 Ryan Naraine 代码卫士 2024-12-02 10:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周二,VMware 修复了位于产品 Aria Operations 中的至少5个安全漏洞。 VMware 在这云IT运维平台上发现了五个漏洞,并提醒用户称恶意黑客可构造 exp,实现提权或发动XSS攻击。
继续阅读API测试思路及crAPI漏洞靶场复现
API测试思路及crAPI漏洞靶场复现 原创 LULU 红队蓝军 2024-12-02 10:03 环境搭建 地址:https://github.com/OWASP/crAPI curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.yml
继续阅读经验贴收稿分享3 | 一次XSS漏洞挖掘
经验贴收稿分享3 | 一次XSS漏洞挖掘 原创 崔西 励行安全 2024-12-01 11:22 官网: https://hall..edu.cn/*/guidePage?id=004B1DE1-267B-47E7-848B-3F5CBC9F4038 账号:21** 密码:20**** 点击办理 2.上传图像文件,并抓包 思路:这里有一个上传功能,按经验丢到重发器,看看会不会爆上传路径 3.放到重
继续阅读知名工业WiFi接入点被曝存在20多个漏洞
知名工业WiFi接入点被曝存在20多个漏洞 黑白之道 2024-12-01 07:57 近期,Advantech工业级无线接入点设备被曝光存在近二十个安全漏洞,部分漏洞可被恶意利用以绕过身份验证并执行高权限代码。 网络安全公司Nozomi Networks在周三发布的分析报告中警告称:“这些漏洞带来了严重的安全风险,它们允许未经身份验证的远程代码以根权限执行,全面威胁到受影响设备的保密性、完整性和
继续阅读CVE-2024-42327|Zabbix SQL注入漏洞
CVE-2024-42327|Zabbix SQL注入漏洞 alicy 信安百科 2024-12-01 01:30 0x00 前言 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 Zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 Zabbix由2部分构成, Zabbix serv
继续阅读Advantech工业级Wi-Fi接入点多个安全漏洞
Advantech工业级Wi-Fi接入点多个安全漏洞 锋刃科技 2024-11-30 18:13 Advantech EKI 系列工业级 Wi-Fi 接入点是用于工业自动化和物联网(IoT)环境中的无线网络解决方案。它们设计用于提供高性能的无线连接,并支持远程监控与管理,适用于智能工厂、自动化生产线等应用。 01 漏洞描述 Advantech EKI 系列工业级 Wi-Fi 接入点中,发现了多达
继续阅读CVE-2024-46938|Sitecore CMS未经身份验证任意文件读取漏洞(POC)
CVE-2024-46938|Sitecore CMS未经身份验证任意文件读取漏洞(POC) alicy 信安百科 2024-11-30 10:00 0x00 前言 Sitecore Experience Platform™ (XP) 是一款基于.NET WebForm技术构建的内容管理系统,可以将客户数据、分析、人工智能与营销自动化功能相结合,在任何渠道上实时提供个性化的内容,从而在客户旅程中与
继续阅读某众测记录|细心 = or ≠ 漏洞 ?
某众测记录|细心 = or ≠ 漏洞 ? 实战安全研究 2024-11-30 01:03 群友投稿的文章 “近时间参加了某众测活动,资产是真的难打 RcyQJzSQDTJxz7RSO9hd3jHIdOHQm9c6Li22u8H3pSdPPcJLSAHphXyBpEsxa7zFAEt3kdJxGJQti3LWkV0ROBaGmE4qv5GQ3Cxtxa3FWDNqi4K2YTgEe6Bb
继续阅读Microsoft 修复 AI、云和 ERP 安全漏洞;一个在主动攻击中被利用
Microsoft 修复 AI、云和 ERP 安全漏洞;一个在主动攻击中被利用 信息安全大事件 2024-11-29 12:04 Microsoft 已经解决了影响其人工智能 (AI)、云、企业资源规划和合作伙伴中心产品的四个安全漏洞,其中一个漏洞表示已被广泛利用。 标记为“检测到漏洞利用”评估的漏洞是 CVE-2024-49035(CVSS 评分:8.7),这是 partner.microsof
继续阅读速修复!Advantech 工业WiFi 访问点中存在20个漏洞
速修复!Advantech 工业WiFi 访问点中存在20个漏洞 Ravie Lakshmanan 代码卫士 2024-11-29 10:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Advantech EKI 工业级无线访问点设备中存在20个漏洞,可被攻击者通过提升后的权限绕过认证并执行代码。 上周三,网络安全公司 Nozomi Networks 在一篇文章分析中提到,“这些漏洞带
继续阅读渗透测试高频面试题分享
渗透测试高频面试题分享 游不动的小鱼丶 安全洞察知识图谱 2024-11-29 00:30 免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1工具介绍 1、TCP与UDP区别总结? TCP面向连接(如打电话要先拨号建立连接
继续阅读构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分)
构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分) haidragon 安全狗的自我修养 2024-11-28 23:12 介绍 每个红队成员都有他们最喜欢的工具集,但有时当它们都没有完全满足你的需求时,你会碰壁。这就是我在处理基于浏览器的攻击时发现自己遇到的情况,尤其是围绕 XSS 利用的攻击。有很好的工具可以查找 XSS 漏洞,但我想要一些可以快速、动态和交互式地显示影响
继续阅读必应主站www.bing.com惊现蠕虫XSS漏洞
必应主站www.bing.com惊现蠕虫XSS漏洞 原创 一个不正经的黑客 一个不正经的黑客 2024-11-28 13:31 必应主站www.bing.com惊现蠕虫XSS漏洞 研究计划 我的主要目标是识别微软某一Web产品中的XSS漏洞,这一漏洞可能被利用,通过向将受害域列为允许来源的应用程序发送请求,从而对其他微软应用程序发起攻击。 一个有效的侦察方法是对多个微软应用程序中允许的域名及其子域
继续阅读信息安全漏洞周报(2024年第48期)
信息安全漏洞周报(2024年第48期) 原创 CNNVD CNNVD安全动态 2024-11-28 01:34 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月18日至2024年11月24日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1224个。接报漏洞情况本周CNNVD接报漏洞11584个,其中信息技术产品漏洞(通用型漏洞)281个,
继续阅读